Jur*_*man 2 internal-dns ssl-certificate synology lets-encrypt subject-alternative-names
我的 Synology NAS 能够通过 HTTPS 运行 Web 界面。mynas默认情况下,您可以通过名称(例如)、sohttp(s)://myname:5001或访问 NAS http(s)://myname.local。它默认为synology.com.
您可以使用 Let's Encrypt 创建新的证书;您将所需的端口从路由器转发到 NAS,我从我拥有的域创建了一个子域,并更新了 DNS 以指向我的家庭 IP。(例如home.my-domain-i-own.com)
我希望我可以输入myname;myname.local主题备用名称,这样我就可以在没有警告的情况下通过 HTTPS 在内部浏览我的 NAS。但是,显然,Let's Encrypt 不接受它无法验证的域名。
我的问题:如何解决我可以在我的域中使用 Let's Encrypt 证书而mynas.local没有任何警告的问题?
问题
您不拥有该域名mynas.local,因此 Let's Encrypt 当然不会签署表明您拥有该域名的证书。如果他们签署了此类证书,浏览器很快就会停止信任 Let's Encrypt。
相反,您需要做的是使用您自己的域名来访问 NAS,无论您从哪里访问它。这不仅是因为证书的原因,还因为如果您有任何移动设备需要从局域网内部和外部访问 NAS,会更方便。
听起来您的网络上有 NAT,这妨碍了将您的域名指向 NAS 的 IP。如果您没有使用 NAT,这就可以了。
解决方案
理想的解决方案是使用没有 NAT 的网络。如果您愿意,您仍然可以使用防火墙阻止从外部到除 NAS 上的 HTTPS 端口之外的所有内容的连接。
您的 ISP 不太可能为您提供足够的 IPv4 地址来进行此类设置,因此如果您想这样做,则必须使用 IPv6。
您可以配置 LAN,使 IPv4 由网关进行 NAT,而 IPv6 则在没有 NAT 的情况下进行路由。对于您为 NAS 选择的名称,您可以创建指向 NAT 的 A 记录和指向 NAS 的 AAAA 记录。
LAN 上的客户端将拥有直接到 NAS 的 IPv6 路径,并且应该更喜欢使用 AAAA 记录。使用 IPv4 地址将涉及发夹 NAT,但这只会在 IPv6 连接失败时用作后备。鉴于客户端和 NAS 彼此之间只有一跳,并且它们之间没有路由器,因此 IPv6 连接失败的情况应该很少见。
LAN 外部的客户端将使用 IPv4 或 IPv6,具体取决于它们连接到的网络。如果它们位于纯 IPv4 网络上,则需要通过 NAT 上的端口转发,您应该按照与现在相同的方式进行配置。
解决方法
如果您的 ISP 尚不支持 IPv6,那么就没有一个干净的解决方案来解决您的问题。然而,仍然有可能的解决方法。
您可以在 NAT 网关上配置自己的 DNS 服务器。该 DNS 服务器需要认为自己对您的域具有权威性,并对其他所有内容进行递归。当请求您的域时,该 DNS 服务器必须提供本地地址。
LAN 上的客户端将获得本地 IP 地址并直接连接到 NAS。LAN 外部的客户端不会使用 NAT 网关上的 DNS 服务器,而是会收到来自指向您外部 IP 的真实权威服务器的响应。
| 归档时间: |
|
| 查看次数: |
5640 次 |
| 最近记录: |